Man vermutet es bei meiner Blog-Historie vielleicht nicht, aber der Titel ist ganz ironiefrei: Ich bin vor wenigen Tagen Onkel geworden. Darum habe ich einen Großteil meiner Zeit nicht vor Computerbildschirmen, sondern vor dunkelblauen Babyaugen verbracht und geholfen, das neue Familienmitglied möglichst reibungsarm in die Sippe zu integrieren.

Dabei ist mir aufgefallen, dass mein kleiner Neffe mühelos die Aufmerksamkeit aller Erwachsenen im Raum auf sich zieht. Wenn er obendrein durch Schreien seinem Missmut Ausdruck verleiht, kann niemand umhin, sich ihm zuzuwenden, um sein Wohlbefinden wiederherzustellen. Egal, was die Leute – mich selbst eingeschlossen – sonst so treiben, dem Schreien eines Babys können sie sich nicht entziehen.

Nicht einmal 0tt0 ist gegen diesen Mechanismus immun. Als er seinen Antrittsbesuch bei meinem Neffen abstattete, wurde er vom Babyschreien ebenso gefangen genommen. Er holte freiwillig Nuckel und Plüschtiere herbei und trug sogar eine frisch befüllte Windel zum Mülleimer, ohne zu klagen. Erst auf dem Heimweg viel ihm auf, wie ungewöhnlich sein Verhalten für ihn war und er schlussfolgerte fasziniert: "Menschen haben ein Default-Root-Passwort: Babyschreien."

Von meinem geschätzten Mitbewohner habe ich mal erfahren, dass die gefährlichste Situation in einer Schlägerei die ist, wenn einer der Beteiligten am Boden liegt und der andere – oder die anderen – den am Boden Liegenden treten. In dieser misslichen Situation befindet sich gerade Sony, jedenfalls im Hinblick auf die IT-Sicherheit des Konzerns. Seit dem K.O.-Treffer, den der bisher folgenreichste Hack aller Zeiten darstellte, kriegen die Japaner einen virtuellen Tritt nach dem anderen in ihre Server.

Zur Erinnerung: Angefangen hatte alles damit, dass die Verantwortlichen bei Sony ihrer Spielkonsole PlayStation 3 durch ein Firmware-Update ein Feature entzogen hatten, das den Nutzern ein Linux-Betriebssystem bereitstellte. Nach dieser Kastrierung dauerte es folgerichtig nur wenige Monate, bis die zuvor ungehackte PS3 geknackt wurde. Wie Kleinkinder mögen es auch Hacker nun mal nicht, wenn man ihnen ihre Spielzeuge wegnimmt. Erfolgreichster und daraufhin auch bekanntester PS3-Hacker war George Hotz alias geohot. Ihn verklagte Sony vor einem kalifornischen Gericht, weil er angeblich der Raubkopiererei Vorschub geleistet habe. Das Verfahren endete mit einem außergerichtlichen Vergleich.

Doch damit hatte der Ärger für Sony erst angefangen: Wenig später drangen Unbekannte – hochwahrscheinlich als Rache für das Vorgehen gegen geohot – in die Server des Playstation Networks ein und stahlen die unverschlüsselten (!) Daten von etwa 77 Millionen PSN-Benutzerkonten. Daraufhin schaltete Sony das PSN ab. Insgesamt 23 Tage blieb das Netzwerk offline, PlayStation-Besitzer konnten nicht gegen- oder miteinander spielen, niemand konnte Games oder Demos herunterladen. Der finanzielle Schaden für Sony ging in die Milliarden. Erst am 15.Mai wurde das Netzwerk wieder hochgefahren, aber damit war das Leid noch lange nicht vorbei.

Die PSN-Nutzer, die inzwischen natürlich unter recht deutlichen Spiel-Entzugsentscheidungen litten, mussten nach der Wiederauferstehung des PSNs logischerweise ihre Passwörter ändern. Um das zu ermöglichen, sollten sie ihre E-Mail-Adresse und ihr Geburtsdatum angeben. Diese Informationen gehörten allerdings zu den Daten, die gestohlen worden waren. Die Datendiebe hätten also die Passwörter aller PSN-User gleich noch einmal klauen können. Die Passwortreset-Seite musste wieder vom Netz genommen werden. Die Verantwortlichen bei Sony beweisen auch nach dem Hack, dass sie nichts begriffen haben.

Aber auch damit war es nicht genug: Eine thailändische Sony-Seite wurde gehackt. Von dort wurden Besucher auf eine gefälschte Webseite einer italienischen Bank gelenkt, die dazu dienen sollte, ihnen Zugangsdaten und Kreditkarteninformationen zu entlocken. Zwar hat dieser Hack nicht direkt mit Sonys anderen Niederlagen zu tun, aber auch er illustriert die mangelhafte Sicherheitslage bei den Japanern.

Und es geht noch weiter: Ein Tochterunternehmen von Sony namens So-net ist in der zurückliegenden Woche ebenfalls gehackt worden. Bei So-net handelt es sich um einen Internet-Serviceprovider, also eigentlich Leute vom Fach. Ganz fachmännisch urteilen die Zuständigen dementsprechend, dass es keinen Zusammenhang mit den restlichen Sony-Hacks gäbe, weil die Angreifer "anders" vorgegangen seien. Beeindruckende Expertise.

Es gibt das berühmte Sprichwort, Sicherheit sei eine Kette, sie reiße am schwächsten Glied. Bei Sony gibt es auch eine Kette in der IT-Sicherheit, nämlich eine Kette von sehr peinlichen Vorfällen. Aber die scheint nicht abzureißen.

Groß war sie, die Aufregung um den StuxNet-Wurm. Der Trojaner konnte, soweit sich das rekonstruieren ließ, SCADA-Industrieanlagen fernsteuern und sogar zerstören. StuxNet hat vermutlich in iranischen Urananreicherungsanlagen dafür gesorgt, dass das dort verfolgte Atomprogramm um Monate, wenn nicht Jahre, zurückgeworfen wurde. Und nun scheint sich zu erweisen, dass StuxNet bald Nachfolger bekommt: Dillon Beresford, ein US-amerikanischer Sicherheitsforscher, hat mehrere Softwarelücken in den Steuergeräten von SCADA-Anlagen gefunden und sagt: "Die sind ganz einfach zu hacken."

Allerdings hält er den Vortrag, in dem er diese Aussage beweisen wollte, nun doch nicht. Das amerikanische Heimatschutzministerium und der hauptsächlich betroffene SCADA-Hersteller Siemens hatten freundlich darum gebeten, die Schwachstellen noch nicht bekannt zu machen. Man braucht noch etwas mehr Zeit, um die Lücken zu stopfen. Mindestens vier Schwachstellen hat Beresford entdeckt und Siemens mitgeteilt.

Es ist aber fraglich, ob dies das Ende der Fahnenstange sein wird. So war im Zuge der StuxNet-Story bekannt geworden, dass das Passwort der SCADA-Steuersoftware WinCC in die Software eingebettet ist, sodass der Benutzer es nicht ändern kann. Wenn nach einer solchen programmiererischen Fehlleistung jetzt so schnell weitere Schwachstellen auftauchen, scheint es um die Sicherheit der Siemens-Produkte nicht gut bestellt zu sein.

---BEGIN TRANSMISSION, FROM: 0tt0_n0rmal0---

Seit dem letzten Post hier haben die Antivirus-Programme einige Updates erfahren und die dort vorgestellte Methode funktioniert nicht mehr. Außerdem ist auch das Metasploit-Framework mehrfach aktualisiert worden und hat dadurch die ganze Methodik obsolet gemacht. Es stellt sich dem geneigten Quick-and-Dirty-Pentester also wieder das Problem: Wie in ein Netzwerk eindringen, ohne selbst Malware schreiben zu müssen? Die Antwort kommt von Bernardo Damele, einem Kollegen aus London.

Er hat ein Programm geschrieben, das Shellcode direkt ausführt. Soweit ist das nichts Besonderes, aber Dameles Shellcode-Launcher lässt sich unter 32- und 64-Bit-Windows und unter 32- und 64-Bit-Linuxen kompilieren. Für ein 32-Bit-Windows liegt sogar eine fertige exe-Datei bereit. Diese Datei wird momentan von so gut wie keinem Antivirus-Programm als schädlich eingestuft.

Für sich allein ist die Datei auch nicht gefährlich, erst in Verbindung mit schädlichem Shellcode wird sie zu einer Bedrohung. Letzterer lässt sich komfortabel mit Hilfe der der Metasploit-Tools msfpayload und msfencode erzeugen. Angehängt an den Shellcode-Launcher startet man so beispielsweise eine Meterpreter-Session, die ihrerseits Ausgangspunkt für zahlreiche weitere Angriffe werden kann.

Schritt Eins: Zunächst wird dazu auf dem Angreifersystem der Shellcode erzeugt, der die Meterpreter-Session öffnet. Dieser Befehl wird eine lange Zeichenkette zurückgeben, die ihrerseits in Schritt Drei als Argument an den Shellcode-Launcher zu übergeben ist.

Schritt Zwei: Vorbereitend wird außerdem der Handler gestartet, der die Session entgegennehmen wird. Schritt Drei: Jetzt wird auf dem Zielsystem, einer 32-Bit-Windows-Maschine, der Shellcode ausgeführt. Dazu ist der Shellcode, der in Schritt Eins erzeugt wurde, an den Aufruf der Datei anzuhängen. Nach einer gewissen Wartezeit wird der Handler eine Meterpreter-Session öffnen. Ein auf der Zielmaschine eventuell installiertes Antivirus-Programm sollte dem ganzen Vorgang nichts entgegensetzen.

Wie in einem realistischen Angriff der Shellcode-Launcher auf die Zielmaschine verbracht wird und er dort als Argument den Shellcode zugeführt bekommt, ergibt sich hieraus natürlich noch nicht. Da das Programm aber im Quelltext vorliegt, ist es ein Leichtes, diesen so zu verändern, dass immer derselbe, präparierte Shellcode ausgeführt wird und diese modifizierten Code dann zu kompilieren. Die so erzeugte Hintertür ließe sich beispielsweise durch einen Browser-Exploit auf die Zielmaschine laden, ohne dass sich der Angreifer Gedanken um eventuell abwehrbereite Antivirus-Software machen müsste.

---END TRANSMISSION---